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Procede de securisat ion de rey6cution d'un programme informatiaue. 
notamment d ans une carte a microcircuit 

5 La presente Invention se rapporte a un procede de securisation de 

I'exdcution d'un programme informatique et a une entite electronique securis6e 

mettant en oeuvre un tel proc6d6. 

L'invention peut notamment etre utilis6e pour securiser une carte 

^ microcircuit (autrement appel§e "carte ^ puce"). 
° Dans la suite de ce document, on entendra par « securisation » 

d'un programme informatique : 

- la detection d'attaques mal intentionn6es visant d modifier le 
pomportement normal d'un programme infonnatlque ; mais aussi 

- tout traitement visant d fiablliser le d§roulement d'un programme 
15 Informatique, et notamment celul d'un programme s'executant dans, un 

environnement tres perturb6, comme un satellite, ou celui d'un programme 
Infonnatlque a forte exigence de flabillt6, comme, par exemple, un programme 
de contrdle d'un Implant cardlaque. 

Par ailleurs, on entendra par "programme informatique", tout 

20 programme, quel que soit le langage informatique et les moyens de 
memorisation utilises. Par exemple, et de fagon non limitative, le programme 
informatique peut etre ecrit en langage machine, assembleur, C, C++, Java, 
VHDL. Le programme peut etre memorise dans une memoire permanente, par 
exemple dans une memoire ROM ou EEPROM ou sur un disque dur, ou dans 

25 une memoire volatile, par exemple de type RAM. Le programme peut §tre 
§galement materialise par un circuit integre, par exemple de type FPGA ou par 
un circuit ASIC ( Application Specific Integrated Circuit ). 

La presente Invention pemriet la detection d'une attaque destinee 
a modifier le deroulement de I'executlon d'un programme Informatique 

30 s'executant sur une entite electronique securlsee, par exemple une carte a 
microcircuit, une carte PCMIA securisee (par exemple une carte IBM4758), une 
clef USB ou un passeport integrant une puce sans contact dans une de ses 
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pages. Elle permet aussi le declenchement d'une contre-mesure ^ cette 
attaque. 

La presente invention permet, en particulier, de detecter des 
attaques par perturbation du fonctionnement d'une entite electronique, par 
5 exemple les attaques de type « attaques par generation de fautes » (en anglais 
"Fault Attack"). 

Ces attaques visent a modifier illicitement le contenu ou la lecture 
du contenu d*un registre, d'une m6moire ou d'un bus, ou a obllger un 
processeur d ne pas, ou mal. executer certaines instructions d'un programme 
10 informatique. Le programme informatlque attaque peut alors se d6rouler d'une 
fa9on tres diff6rente de celle qui avait et6 prevue au moment de sa conception. 

Ces attaques peuvent. entre autres et de fagon connue. etre 

effectuees : 

- en gen6rant un pic de tension a Tune des bornes d'alimentation 
15 du processeur ; 

- en elevant brusquement sa temperature ; 

- en changeant rapidement sa frequence d'horloge ou sa tension 
d'alimentation ; 

- en appliquant un flash de Iumi6re, un rayon laser, ou un champ 
20 electromagn6tique, sur une partie du sllicium qui le compose. 

Selon I'etat actuel de la technique, i'homme du m6tier dispose de 
diff§rents moyens pour s6curiser un programme informatique, et notamment 
pour lutter contre les attaques par generation de fautes dans une carte § 
microcircuit. 

25 Une premiere methode consiste a installer, dans les composants 

des cartes a microcircuit, des capteurs qui permettent de detecter de telles 
attaques. 

Uefficacite d*une telle methode est neanmoins restreinte car il est 
en pratique impossible de mettre des capteurs sur toute la surface de ce 
30 composant. Par ailfeurs ces capteurs 6tant egalement composes de silicium, it 
est egalement possible de les perturber ou de modifier les informations qu'its 
transmettent. 
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Un deuxi§me proced6 de securisation connu et mis en oeuvre 
dans la plupart des systemes d'exploitation des cartes ^ microcircuit repose sur 
I'utilisation de "semaphore". Un tel proc6d6 comporte : 

-irne §tape de modification du contenu d'une zone m§molre 
5 durant l'ex6cution d'un ensemble d'instructions critiques ; et 

-une etape de verification au cours de laquelle on verifie, en lisant 
le contenu de la zone memoire pr6cit6e. que I'etape de modification precitee a 
^t6 r^alisee. 

SI la zone memoire n'a pas §te modifiee, cela signifie que I'etape 
10 de modification n'a pas et6 effectu6e. et que. par consequent, les instructions 
critiques precitees n'ont pas ete correctement executees. 

On notera que le terme "semaphore" fait reference dans le present 
document a une notion differente de celle connue dans le domalne de la 
programmation des processus concurrents, et qui porte n6anmoins le m§me 
15 nom. 

Cette deuxieme m6thode dont la mise en oeuvre s'effectue par 
logiciel ne presente pas ies inconvenients de la premiere m6thode precitee. 

Neanmofns, et de fapon connue. les semaphores sont 
traditionnellement impl§mentes par des variables residant en memoire de 
20 travail (RAM) et leur manipulation (positionnement, lecture) est relativement 
lente ou coOteuse en espace memoire. Cette contrainte est particulierement 
p6nalisante lorsque le programme s'execute sur des systemes disposant de 
ressources limitees (m6moire, puissance de calcul, ...) tels que des cartes S 
puce. La pr§sente invention vise une methode de securisation loglcielle ne 
25 presentant pas les inconvenients precedents. 

A cet effet, elle concerne un proc6d6 de securisation de 
I'execution d'un programme informatique, ce precede comportant : 

- une etape d'empilement d'une valeur predeterminee dans une 
pile d'instructions du programme ; et 

- "ne 6tape de depilement de cette pile, cette etape de depilement 
etant adaptee, fe cas echeant. a. permettre la detection d'une anomalie 
d'executior». 
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On rappellera Ici qu'une pile d'instructjons est une zone de la 
memoire pour conserver provisolrement des donn§es. Les valeurs sont 
empltees dans la pile et d6pil§es aux moyens de deux instructions specifiques, 
respectivement appel6es PUSH et POP dans la suite de la description. 
5 Ces instructions ne manipulent que des valeurs de taille fixe, par 

exemple d'un octet. 

L'utilisation de la pile suit un algorithme de type LIFO ("Last In 

First Out"). 

De fa9on connue, elle memorise, en partlculler, I'adresse de retour 
1 0 d'une procedure (instruction RET en assembleur 80x86, par exemple). 

Le proc§d6 de s^curisation selon I'invention utilise done la pile 
d'ex6cution pour m6moriser une valeur permettant la detection d'une anomalie 
d'ex^cution. 

Une pile d'ex§cution 6tant. d'une part d'accds rapide en lecture et 
15 Venture et, d'autre part, peu couteuse en espace memoire. le proc6d(§ de 
securisation selon I'invention est particuli^rement adapts pour s^curlser des 
programmes informatiques s'ex6cutant sur des systemes disposant de 
ressources limitees. 

Cette utilisation nouvelle de la pile d'instructions pr6sente d'autres 
20 avantages qui seront d6crits ulterieurement. 

Dans un mode pr6f6r6 de realisation, les 6tapes d'empilement et 
de d§pilement sont respectivement associ6es a des Elements d'au moins un 
sous-ensemble d'instructions dudit programme. 

Par exemple, I'^tape d'empilement peut §tre associ^e d 
25 rinstruction "open(fichier)" d'ouverture d'un fichier et I'etape de d§pilement ^ 
I'instruction "close(fichier)" de fenneture de ce fichier. 

Cette caract^ristique est particulierement avantageuse. car elle 
permet d'automatiser I'ecriture des instructions de securisation, en associant, 
par exemple ^ I'aide d'un editeur. les operations d'empilement et de depilement 
30 aux elements precites,. S savoir dans I'exemple precedent, les instructions 
"open" et "close". 
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Selon une premiere variante de ce mode prefere de realisation, 
les 6l6ments du sous-ensemble d'instructions sont respectivement une 
parenthese ouvrante et une parenthese fermante d'un systeme de parentheses. 

On rappelle a cet effet, qu'en theorie des langages. et de fagon 
5 connue par I'homme du metier des langages informatlques. on dit que Ton se 
trouve en presence d* un systeme de parentheses lorsqu'un texts comporte 
autant de parentheses ouvrantes que de parentheses fermantes et que tout 
debut de ce texte contient un nombre de parentheses ouvrantes sup6rieur ou 
egal au nombre de parentheses fermantes. 

cette caracteristique particulierement avantageuse, les 
etapes d'empilement et de depilement peuvent respectivement §tre associees 
aux instructions ; 

- "(" et ")" ; ou 

- T' et ;ou 

15 - "begin" et "end" ; ou 

- "repeat" et "until". 

Dans une autre variante de ce mode prefer^ de realisation, I'etape 
de d6pilement est assocl§e e une instruction de retour d'ex§cution du 
programme ou d'un sous-programme de ce programme. 

C®tte caracteristique permet avantageusement d'utiliser les 
operations nomiales de depilement effectuees traditionnellement au retour d'un 
programme ou d'un sous programme (lors de I'execution de I'Instruction return) 
pour detecter une anomalie d'execution. si les valeurs depiiees ^ cette occasion 
ne correspondent pas a celles qui auraient dO §tre depilees an cas d'execution 
26 normale du programme. 

Selon une autre caracteristique, le programme est dans un 
langage de programmation qui comporte une premiere instruction dont 
I'execution met en oeuvre I'etape d'empilement et/ou une deuxieme instruction 
dont I'execution met en oeuvre ladlte etape de depilement. 

Dans ce mode de realisation, des instructions nouvelles sont 
integrees au langage de programmation, ces instructions ayant chacune une 
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fonction propre et, soit une fonction d'empilement, soit une fonction de 
d§pilement en vue de la sdcurisation du programme. 

Pour reprendre I'exemple bridvement introduit ci-dessus, une 
nouvelle instruction baptisee "open(fichier)", peut etre creee, cette nouvelle 
instruction permettant a la fois I'ouverture du fichier et I'empilement d'une valeur 
predeterminee dans la pile d'instructions du programme. 

Ainsi, le programmateur est assur6 que des fonctions de 
s6curisation sont mises en ceuvre ^ chaque ouverture de fichier, sans m§me 
qu'll ait besoin de s'en occuper et sans qu'un outil logiciel particuiier soit 
n§cessaire. 

Pr6ferentiellement, la deuxi§me instruction termlne le programme 
ou un sous-programme de ce programme. 

Ce mode de realisation pr^sente les m§mes avantages que le 
mode de realisation introduit pr6c§demment et dans lequel les instructions 
d'empilement et de depilement sont assoclees, et non pas integrees, ^ des 
elements d'un sous-ensemble d'instructions du programme. En consequence, il 
ne sera pas decrit en details ci-apres. 

Dans un mode pr6fer6 de realisation, la valeur predetermines est 
representative d'un sous-ensemble d'instructions critiques du programme. • 

Cette caracteristique est particulierement avantageuse lorsque le 
precede de securisation est utilise pour securiser plusieurs sous-ensembles 
d'instructions du programme. 

Elle pemiet de detecter, au cours de I'etape de depilement, qu'un 
sous-ensemble d'instructions particuiier a et6 execute correctement, et non pas 
un autre sous-ensemble d'instructions dont I'exeoution aurait entraTne 
I'empilement d'une autre valeur predeterminee. 

L'homme du metier comprendra aisement que cette 
caracteristique peut etre utilisee pour securiser differentes branches d'un test 
(du type, "If, "then", "else" en langage C), une valeur predetenninee differente 
etant empiiee dans chacune des branches, et I'etape de depilement etant 
effectuee d la fin de ce test. 
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Lorsque te programme fait appel a un sous-programme, cette 
caracteristlque permet aussi de s'assurer, pendant rexeoutlon de ce sous- 
programme, que I'on est entre dans ce sous-programme suite ^ cet appel et 
non pas suite d une attaque par generation de fautes. 
5 Deux examples de mise en ceuvre de cette caract6ristique seront 

d6talll6s ult6rleurement en reference aux annexes A et C. 

Selon une autre caracteristique, le precede de s6curisation selon 
rinvention comporte une 6tape de traitement d'anomalie, mise en ceuvre, si, au 
cours de I'^tape de d^pilement, on depile une valeur diff6rente de la valeur 
10 pr§d6terminee. 

Cette caracteristique permet avantageusement de mettre en 
ceuvre I'etape de traitement d'anomalie, d6s qu'une attaque a eu pour 
consequence de modifier Texecution normale du programme et notamment 
I'appel ou le retour d'executlon d'une fonction de ce programme. Ce proc§d§ de 
15 s§curlsation est alors particulierement efflcace. 

Le traitement de Tanomalle peut par exemple, dans le cas de 
rutllisatlon du precede de s6curisation dans une carte a microcircuit, consister a 
rendre la carte inoperante, par destruction du systeme d 'exploitation de cette 
carte. 

^® Trois exemples de mise en ceuvre de cette caracteristique seront 

detailles ulterieurement en reference aux annexes A, C et D. 

Dans un mode de realisation particulier dans lequel le programme 
comporte au moins un appel a un sous-programme, r§tape d'empilement est 
effectuee avant cet appel, et la valeur predetermjn6e supprimee de la pile 
25 pendant l'ex6cutlon de ce sous-programme. 

Cette caracteristique perniet ainsi de contrdler que le sous- 
programme a effectlvement ete execute et correctement execute. 

En effet, si I'appel a ce sous-programme a ete saute, ou si I'etape 
de depilement n'a pas ete effectuee, la pile d'instructions conservera la valeur 
30 predeterminee empiiee. 

Le depilement ulterieur de cette valeur entraTnera la detection de 
I'anomalie d'exeeution, comme explicite infra en reference aux annexes B et C. 



wo 2005/008451 



8 



PCT/FR2004/001755 



Dans ce mode de realisation partlculier, la valeur pr6d§terminee 
peut avantageusement §tre I'adresse d'une fonction de traitement d'une 
anomalie. 

Ainsi, si le valeur pr6d6terminee n'est pas depilee pendant 
5 rex§cution du sous-programme, par exemple suite a une attaque ayant pour 
consequence la non execution de ce sous-programme, le d^pilement ulterieur 
par le processeur de cette valeur entratnera, la mise en oeuvre de cette fonction 
de traitement. Un exemple sera detailie ult6rieurement d I'annexe B. 

Cette caract§ristlque permet de d6clencher la fonction de 
10 traitement si le programme subit une attaque quelconque dont la consequence 
est d'evlter I'execution du sous-programme. Elle est done particulierement utile 
pour securlser des fonctions critiques, par exemple une procedure 
d'authentification. 

Dans un autre mode de realisation particulier dans lequel le 
15 programme comporte au moins un appel a un sous-programme, I'etape 
d'empilement est effectuee pendant I'execution du sous-programme, et la 
valeur predeterminee supprimee apres execution de ce sous-programme. 

Cette caracteristique permet ainsi de contrdler que le retour de ce 
sous-programme s'effectue correctement. 
20 En effet, si le retour de ce sous-programme a ete perturbe. la pile 

d'instructions conservera la valeur predeterminee empiiee. 

Ce mode de realisation particulier sera detailie en reference d 

I'annexe D. 

Dans cet autre mode de realisation particulier, la valeur 
25 predeterminee peut avantageusement etre I'adresse d'une fonction de 
traitement d'une anomalie. 

Pour les raisons 6voquees precedemment, cette caracteristique 
permet de dedencher la fonction de traitement si le programme subit une 
attaque quelconque dont la consequence est d'eviter I'execution du sous- 
30 programme. Elle est done particulierement utile pour securiser des fonctions 
critiques, par exemple une procedure d'authentification. 
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Un exemple de mise en cBuvre de cette caracterlstique sera 
donne en reference a Tannexe E. 

L'inventlon vise aussi un support d'informations lisible par un 
systeme informatique, eventuellennent totalement ou partiellement amovible, 
notamment CD-ROM ou support magnetique. tel un disque dur ou une 
disquette, ou support transmissible tel un signal electrique ou optique, ce 
support d'informations comportant des instructions d'un programme 
informatique permettant la mise ne ceuvre d'un procede de securisation tel que 
decrit brievement ci-dessus, lorsque ce programme est charg6 et execute par 
un syst^me informatique. 

Uinvention vise egalement un programme d^ordinateur stocke sur 
un support d'informations, ce programme comportant des instructions 
permettant la mise en oeuvre d'un procede de securisation tel que decrit 
brievement ci-dessus, lorsque ce programme est charge et execute par un 
systeme informatique. 

L'invention vise 6galement une entite electronique s6curisee et 
une carte a microcircuft comportant des moyens de mise en oeuvre d'un 
procede de securisation tel que decrit brievement ci-dessus. 

Les avantages et caracteristiques particulidres prop res aux 
support d*informatlon, au programme d'ordinateur et a la carte d microcircuit 
etant les m§mes que ceux exposes ci-dessus concernant le procede de 
securisation selon Tinvention, ils ne seront pas rappeles ici. 

D'autres aspects et avantages de la presente invention 
apparaTtront plus clairement a la lecture de la description de modes particuliers 
de realisation qui va suivre, cette description etant donnee uniquement a titre 
d'exemple non limitatif et faite en reference aux annexes A a E qui comportent 
cinq exemples de programmes informatiques s6curises conformement d 
invention. 

Ces programmes sont ecrits en langage C et en assembleur 
80c51. Afin d'en faciliter la description, chaque ligne est prec6d6e d'un 
commentaire compris entre res chaines de caracteres "/*" et "*r. 
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La description d'une carte a microcircuit conforme d {'invention 
dans un mode pr6f6r6 de realisation sera effectu6e en r6f6rence d la figure 1. 

L'annexe A comporte 33 lignes d'instructlons num6rotees /*a1*/ ^ 
/*a33*/ d'un programme informatique dont I'execution est securisee par un 
5 proced6 de s§curisation conforme ^ I'invention dans un mode prefere de 
realisation. 

La ligne /*a1*/ n'est pas une Instruction d proprement parler. Elle 
symbolise le fait que le programme de l'annexe A peut contenir un certain 
nombre d'instructlons. en lieu et place de la chafne de caractdres en plus 
3 des instructions servant a la s^curisation de ce programme. Elle represente un 
ensemble d'instructlons sans rapport avec la pr6sente invention. 

La ligne /*a2*/ comporte une directive #pragma asm, indiquant au 
compilateur que les lignes d'Instructions qui suivent sont en assembleur 80c51 . 

La ligne /*a3*/ comporte une instruction dont I'execution met en 
i oeuvre une 6tape d'empilement de la valeur predetemiinee 0 (en notation 
hexad§cimale) dans ia pile d'instructlons du programme de l'annexe A. Pour 
simplifier, on dira par la suite qu'on empile la valeur 0 ^ la ligne /*a3*/. 
Puis, on empile la valeur 1 a la ligne /*a4*/. 

Dans le mode prefer^ de realisation decrit ici, les valeurs 
predetemninees OOh et 01 h represented respectivement les octets de poids fort 
et de poids falble de la valeur 1 (en notation hexad§cfmale) codee sur 2 octets. 

La ligne /*a57 comporte une directive #pragma endasm, indiquant 
au compilateur que les lignes d'Instructions qui suivent ne sont plus en 
assembleur 80c51, mals en langage C. 

Les lignes /*a6*/ et /*a7*/ simllalres k la ligne /*a1*/ pr6c6demment 
d6crite, repr6sentent un ensemble d'instructlons sans rapport avec la presente 
Invention. 

La ligne /*a8*/ comporte une instruction au cours de laquelle on 
teste si le contenu de la variable "test" est egal ^ "VRAI". De fagon connue, si 
tel est le cas au moment de I'execution du programme de l'annexe A, le 
processeur ex^cutera les instructions /*a9*/ d /*a23V suite au test de la ligne 
/*a8*/: 
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Sinon, il ex6cutera directement rinstruction de la ligne /*a24*/. 

La ligne /*a9*/ est identique ^ la ligne /*a2*/ pr§c6demment 

d^crite. 

Les lignes /*a10*/ et /*a11*/ sont similaires aux llgnes /*a3*/ et 
6 /*a4*/ deja decrites. Elles permettent d'empiler en deux temps la valeur 1 (en 
notation hexadecimale) cod§e sur deux octets. 

La ligne /*a12*/ est identique ^ la ligne /*a5*/ precedemment 

ddcrite. 

Les lignes /*a13*/ et /*a14*/ similaires a la ligne /*a1*/ 
precedemment decrite, representent un ensemble d'instructions sans rapport 
avec la presente invention. Ces instructions peuvent bien entendu manipuler la 
pile d'instructions. a condition de laisser cette pile d'instructions, d Tissue de la 
ligne /*a14*/ dans l'§tat oD eite se trouvait avant I'instruction /*a13*/. 

La ligne /*a15*/ est identique d la ligne /*a2*/ precedemment 

d6crite. 

La ligne /*a16*/ comporte une instruction dont I'execution met en 
oeuvre une etape de d6pilement de la pile d'instnjctions. la valeur depil6e etant 
memorisee dans un registre A. Pour simplifier, on dira par la suite qu'on d6pile 
dans le registre A ^ la ligne /*a16*/. 

A Tissue de I'instruction /*a16*/. le registre A memorise en 
consequence la derniere valeur empilee dans la pile, celle-ci fonctionnant selon 
un mecanisme LIFO. 

La ligne /*a17*/ comporte une instruction permettant de comparer 
le contenu du registre A avec la valeur 02H. Nomialement, si ie programme n'a 
pas subi d'attaque lors de son execution depuis la fin de I'instruction de la ligne 
/*a11*/, le contenu du registre A contlent la valeur 02H empll§e au cours de 
I'instruction de la ligne /*a 11*/. 

L'etape de depilement de la ligne /*a167 permet ainsi la detection 
d'une anomalie d'ex6cution, conform6ment d la pr6sente invention. 

Si, au cours de I'etape de comparaison de la ligne 1*317*/ on 
trouve que la valeur du registre A est diff6rente de la valeur 02H, le programme 
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de Tannexe A se branche S Tadresse "anomalie" au cours de Tinstruction de la 
Iigne/*a18*/. 

Cette adresse "anomalie" est, dans le mode de realisation d6crit 
ici. Padresse d'une etape de traitement d'anomalie du precede de securisation 
5 selon {'invention. Dans la pratique, Tadresse "anomalie" est une adresse en 
notation hexadecimale directement interpretable par le processeur 

En revanche, si, au cours de r^tape de comparaison de la ligne 
/*a17*/ on trouve que le registre A memorise la valeur 02H, le programme de 
I'annexe A execute instruction de la ligne /*a19*/. 
10 Les lignes /*a19*/ a /*a21*/ sont des lignes similaires aux lignes 

/*a 1 6*/ a /*a1 8*/ pr6c6demment d6crites : 

- d6pllement dans le registre A a la ligne /*a19*/ ; 

- comparaison du registre A, avec la valeur OOH a la ligne /*a20*/. 
la valeur OOH correspondant a la valeur predetermin6e empil6e a la ligne 

15 /*a10V;et 

- branchement a Tadresse "anomalie" au cours de l^instruction de 
la ligne /*a21*/ si le registre A ne contient pas la valeur OOH au moment de 
rex6cution de instruction de la ligne /*a20*/. 

En revanche, si le registre A contient la valeur OOH. le programme 
20 execute Tinstruction de la ligne /*a22*/ identlque a la ligne /*a6*/ precedemment 
decrite. 

Les lignes /*a24V et /*a25*/ similaires a la ligne /*a1V 
pr6cedemment decrite, repr6sentent un ensemble d'instructions sans rapport 
avec la presents invention. 

25 Les lignes /*a26*/ d /*a33*/ sont des lignes similaires aux lignes 

/*a15*/ ^ /*a22V pr§c6demment d6crites : 

EHes comportent des etapes /*a28*/ et /*a30*/ de d6pilement 
permettant de detecter une anomalie d'execution du programme si la pile a ete 
corrompue et qu'elle ne contient pas, juste avant I'execution de Tinstruction de 

30 la ligne /*a27*/ les valeurs pred6termin6es 01 H et OOH empilees respectivement 
aux lignes /*a4*/ et /*a3*/. 
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En conclusion, les deux sous-ensembles d'instructions, 
respectlvement constltu6s par les llgnes /*a6*/ a /*a25*/ et /*a13*/ a /*a14*/ sent 
s§curis6s. 

Le sous-ensemble d'instmctions constltue par les llgnes /*a6*/ et 
/*a25*/ est s§curis§ grace : 

I'^tape d'empilement (lignes /*a3*/ et /*a4*/) de la valeur 
pr6d6termln§e 1 cod§e sur 2 octets ; et 

- a I'etape de depilement des lignes /*a27*/ et /*a30*/. 

De meme, le sous-ensemble d'instructions constitu6 par les lignes 
/*a13*/ et /*a14*/ est securis§ gr^ce : 

-a I'etape d'empilement (lignes /*a10*/ et /*a117) de la valeur 
predetermin6e 2 cod^e sur 2 octets ; et 

- a r6tape de d6pilement des lignes /*a16*/ et/*a19*/. 

Cette implementation n'est nullement limitative, les valeurs 
pr6d§termin6es 1 et 2 auralent aussi pu etre identiques ou choisies de fagon 
aleatoire. 

L'annexe B comporte 28 lignes d'instructions num^rotees /*b1*/ a 
/*b28*/ d'un programme informatique dont rex6cution est s6curis6e par un 
proc6d^ de securisation confomie d I'lnvention dans un mode pr6f6r§ de 
realisation. 

Les lignes /*b1*/ et /*b2*/ constituent les deux premieres lignes de 
declaration de la fonction "function" en langage C, cette fonction ne comportant 
ni param§tre d'entree ni valeur de retour. La ligne /*b11*/ comporte la derni6re 
instruction de la declaration de cette fonction. 

La ligne /*b3*/ similaire ^ la ligne /*a1 */ pr6c6demment d^crite en 
reference ^ l'annexe A, repr6sente un ensemble d'instructions sans rapport 
avec la pr^sente invention. 

La ligne /*b4*/ est Identique a la ligne /*a2V prec^demment decrite 
en reference e l'annexe A. 

Au cours des instructions des lignes /*b5*/ et /*b6*/, on effectue, 
en deux temps, une etape d'empilement d'une valeur predeterminee codee sur 
deux octets, cette valeur predeterminee etant, dans ce mode prefere de 
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realisation I'adresse d'une fonction OS^killcard de traitement d'une anomalie. 
Dans la pratique, Tadresse "OS_killcard" est une adresse en notation 
hexadecimale directement interpretable par le processeur. 

Dans le cas de rutilisation du procede de securisation dans une 
5 carte a microcircuit, la fonction OS^killcard peut par exemple inhiber le 
fonctionnement de la carte par destruction de son systenne d'exploitation. 

La ligne /*b7*/ est identlque a la ligne /*a5*/ pr6cedemment decrite 
en reference a Tannexe A. 

La ligne /*b8*/ similaire ^ la ligne /*a1*/ pr6c6demment decrite en 
10 reference ^ Tannexe A, represente un ensemble d'Instructions sans rapport 
avec la presente invention. 

La ligne /*b9*/ comporte une instruction d'appef ^ une fonction 
critique "fonction^critique", dont le code sera d6crit en reference aux lignes 
/*b12Va/*b28*/. 

15 De fa9on connue, Tappel a un sous-programme entrame 

automatiquement rempilement de I'adresse de retour de ce sous-programme 
dans la pile d'instructions. Cette adresse de retour, codes sur 2 octets, occupe 
done deux registres de la pile. Dans Texemple decrit Ici. cette adresse 
correspond a I'adresse de Tinstruction de la ligne /*b10*/, cette ligne devant etre 

20 exScutee au retour de la fonction "fonction_critlque". 

Les lignes /*b12*/ et /*b13*/ d'une part et /*b28V d'autre part 
constituent les deux premieres lignes et la derniSre llgne de declaration de la 
fonction •fonction_critique", cette fonction ne comportant ni parametre d'entr6e 
ni valeur de retour. 

25 Apres rex6cution des instructions des lignes /*b12*/ et /*b13*/, les 

quatre dernieres valeurs empilees dans la pile d'Instructions sont, dans I'ordre 
chronologique : 

- Toctet de poids fort de Tadresse de la fonction 6s_killcard (ligne 

/*b5*/) ; 

30 - Toctet de poids faible de Tadresse de la fonction OS^killcard (ligne 

/*b6*/>. ; 
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- roctet de poids fort de I'adresse de la premiere Instruction de la 
Iigne/*b10*/; et 

- roctet de poids faible de I'adresse de la premiere instruction de la 
Iigne/*b107. 

5 La ligne /*b14*/ similaire ^ la ligne /*a1 V prec§demment decrite en 

r6f6rence S I'annexe A, repr6sente un ensemble d 'instructions sans rapport 
avec la presente invention. 

De m§me que d^crit precedemment en reference aux lignes 
/*a13*/ et /*a14*/ de I'annexe A. on supposera que ces instructions laissent la 
10 pile d'instructions, dans i'etat ou elle se trouvait avant Tinstruction /*b14*/. 

La ligne /*b157 est identique a la ligne /*a2*/ pr6cedemment 
decrite en reference a I'annexe A. 

A la ligne /*b16*/.. on depile la pile d'instructions dans le registre A. 
le contenu de ce registre A etant ensuite sauvegarde dans un registre R7 ^ 
15 retape/*b17*/. 

De meme. S la ligne /*b18*/. on depile i nouveau la pile 
d'instructions dans le registre A. le contenu de ce registre A 6tant sauvegarde 
dans un registre R6 a I'^tape /*b197. 

Avec ce qui a 6t§ dit precedemment. et en cas d'ex6cution 
nomiale du programme de I'annexe B. les reglstres R6 et R7 contiennent done 
respectlvement. d Tissue de I'execution de I'instruction de la ligne /*b19*/ : 

- roctet de poids fort de I'adresse de la premiere instruction de la 
ligne /*b 107; et 

- roctet de poids faible de I'adresse de la premiere instruction de la 
25 ligne /*b 107. 

Ensuite, on d6pile deux fois dans le registre A, la pile 
d'instructions aux lignes /*b207 et /*b217. ce qui revient. en cas d'execution 
normale du programme de I'annexe B. ^ supprimer I'adresse sur deux octets de 
la fonctlon OS_killcard de la pile d'instructions pendant I'execution du sous- 
30 programme "fonction_critique". 

A la ligne /*b227. on memorise dans re registre A. le contenu du 
registre R6. ^ savoir I'octet de poids fort de la premiere instruction de la ligne 
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/*b10*/, cette valeur 6tant empil6e dans la pile d'instructions d I'etape de la ligne 
/*b237. 

De fagon identlque, on empile I'octet de polds faible de la premiere 
Instruction de la ligne /*b10*/, cet octet 6tant memorise dans le registre R7, aux 
5 lignes /*b24*/ et /*b257. 

La ligne /*b267 est identique a la ligne /*a57 prec^demment 
d§crite en reference a I'annexe A. 

La ligne /*b27*/ similaire d la ligne /*a1*/ precedemment d§crite en 
r6f6rence d I'annexe A, repr§sente un ensemble d'instructions sans rapport 
10 avec la prSsente invention. 

La ligne /*b28*/ est la dernlere ligne du sous-programme 
"fonctjon_critique". De fagon connue, elle se traduit en assembleur par une 
instruction de type "RETURN" ou "RET" dont I'ex^cution entraTne le saut du 
programme d I'adresse memoris§e dans les deux premiers reglstres de la pile 
15 d'instruction. 

S'il ne subit pas d'attaque lors de son execution, le programme se 
branche done a la premiere instruction de la ligne /*b10*/, I'adresse de cette 
instruction ayant §te empilee aux lignes /*b23*/ et /*b257 

La ligne /*b10*/ similaire a la ligne /*a1*/ precedemment d^crite en 
20 reference a I'annexe A. represente un ensemble d'instructions sans rapport 
avec la presente invention. 

La ligne /*b1 1*/ termine la fonction "function". 

En conclusion, dans le mode de realisation particulier de I'annexe 
B, l'6tape d'empilement de I'adresse de la fonction OS_killcard est effeptu6e 
25 avant I'appel au sous-programme "fonctlon_critique", cette adresse 6tant 
supprim^e de la pile pendant {'execution de ce sous-programme, aux lignes 
/*b20Vet/b21*/ 

Ce mode de realisation permet ainsi de contrdler que le sous- 
programme "fonction_critique" a 6t§ effectivement ex§cut§. 
30 Par exemple, si I'appel ^ ce sous-programme a 6t6 perturb^, ou, 

plus g6n6ralement, si I'etape de depilement n'a pas 6t6 effectu6e, la pile 
d'instructions consen/era la valeur de la fonction OS_killcard, le d6pilement 
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ulterieur de cette valeur, par exemple lors d'une instruction de retour 
d'execution, entramant la detection de cette anomalie d'ex§cutlon, et ('execution 
de la fonction OS_killcard de traitement d'une anomalie. 

L'annexe C comporte 32 lignes d'instructions numerot6es /*c1 */ ^ 
5 /*c32*/ d'un programme infonnatique dont rex6cution est s6curis§e par un 
precede de s6curisation conforme d I'invention dans un mode prefere de 
realisation. 

Les lignes /*c1*/ a /*c11*/sont similaires aux lignes /*b1*/d /*b11*/ 
decrites en reference a l'annexe B, a la difference pr6s que I'on empile dans la 
D pile d'instruction, la valeur predeterminee 05F1H cod6e en hexadecimal sur 
deux octets, au lieu de I'adresse de la fonction OS_killcard (lignes /*c5*/ et 
/*c6*/). 

Cette etape d'empilement est la aussi effectu§e avant I'appel au 
sous-programme fonction_crltique. 
> Dans ce mode de realisation partlculier, cette valeur 

predetenninee 05F1H est representative du sous-ensemble constitue par les 
instructions des lignes /*c12*/ d /*c19*/. 

Les lignes /*c12*/ d /*c19*/ sont similaires aux lignes /*b12*/ a 
/*b19*/ decrites en reference e l'annexe B. 

En cas d'execution normale du programme de l'annexe C, les 
registres R6 et R7 contiennent done respectivement. a I'issue de I'execution de 
I'instruction de la ligne /*c19*/, I'octet de poids fort et I'octet de poids faible de 
I'adresse de la premiere instruction de la ligne /*c10*/ correspondant a I'adresse 
de retour de la fonction "fonction_critique". 

On depile ensuite la pile d'instructions dans le registre A § la ligne 
/*c20*/, le contenu de ce registre etant ensulte compare avec la valeur 
hexadecimale F1H S la ligne /*c21V. 

Normalement, si le programme n'a pas subi d'attaque, notamment 
au moment de I'appel a la fonction "fonctlon_critique", le registre A contient la 
valeur F1H empiiee au cours de I'instruction de la ligne /*c5*/. 

L'etape de depilement de la ligne /*c207 permet ainsi la detection 
d'une anomalie d'execution, conform6ment a la presente invention. 
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SI, au cours de I'etape de comparalson de la ligne /*c217 on 
trouve que la valeur du reglstre A est dlff§rente de la valeur F1H, le programme 
de {'annexe C se branche a I'adresse "OS_klllcard" au cours de I'instruction de 
la llgne /*c22*/. Cela peut notamment se produire k la suite d'une attaque par 
5 g6n6ratlon de faute qui entraTneralt l*ex6cution de la fonction "fonction_critique" 
sans qu'elle alt ete appelee. 

Dans ce mode de realisation du procede de securisatlon selon 
I'invention, le programme de traitement d'anomalie OS_killcard est done mis en 
oeuvre, si, au cours de I'etape de depilement de I'instruction /*c20V, on d6pile 
10 une valeur diff6rente de la valeur pr6d§termln6e F1H empil6e d I'instruction 
/*c6*/. 

En revanche, si, au cours de r§tape de comparaison de la ligne 
/*c21*/ on trouve que le registre A memorise la valeur F1H, le programme de 
I'annexe C execute I'instruction de la ligne /*c23*/. 
^5 Les llgnes /*c23V d /*c25*/ sont des lignes similaires aux lignes 

/*c20*/ d /*c22*/ pr6c§demment decrltes : 

- d§pllement dans le registre A ^ la ligne /*c23*/ ; 

- comparaison du registre A, avec la valeur 05H a la ligne /*c24*/, 
la valeur 05H 6tant la valeur predeterminee empilee a la ligne /*c5*/ ; et 

!0 - branchement § I'adresse "OS_killcard" au cours de I'instruction 

de la ligne /*c25*/ si le registre A ne contient pas la valeur 05H au moment de 
rex6cution de I'instruction de la ligne /*c267. 

En revanche, si le registre A contient la valeur 05H, ie programme 
execute I'instruction de la ligne /*c26*/. 
5 Quoiqu'll en solt, I'ex^cution des instmctions des lignes /*c20*/ et 

/*o23*/ supprime la valeur pr6d6termin6e 05F1 H de la pile d'ex6cutlon. 

Les lignes /*c26*/ a /*c29*/ sont similaires aux lignes /*b22*/ d 
/*b25*/ pr6c§demment d6crites en reference a I'annexe B. 

Elles permettent d'empiler dans la pile d'Instructions les valeurs 
y m§moris6es dans les registres R6 et R7 lors de {'execution des instructions des 
lignes /*c17*/ et /*c1&*/, a savoir respectlvement : 
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30 



- I'octet de poids fort de I'adresse de la premiere instruction de la 
ligne /*c10*/; et 

- I'octet de poids faible de I'adresse de la premiere Instruction de la 
ligne /*c10*/. 

5 Les lignes /*c30V ^ /*c32V sont simllaires aux lignes /*b26*/ a 

/*b287 prec6demment ddcrites en reference a I'annexe B. 

S'il n'y a pas eu d'attaque, le programme se branche done a la 
premiere instruction de la ligne /*c107. I'adresse de cette instruction ayant ete 
empilee aux lignes /*c27*/ et /*c29*/ 

^° "-^ ''9"® similaire a la ligne /*a1*/ precedemment d§crite en 

reference a I'annexe A. represente un ensemble d'instructlons sans rapport 
avec la pr§sente invention, et la ligne /*cir/ termlne la fonction "functioni" de 
I'annexe C. 

Dans ce mode de realisation, la valeur 05F1H aurait pu §tre 
I'adresse d'une fonction de traitement d'anomalie. Ce mode particulier de 
realisation permet de renforcer la securisation du programme, car m§me si une 
attaque se prodult au cours de I'ex^cution du test des lignes /*c20*/ ^ /*c25*/. 
cette attaque serait d6tect6e par la mise en oeuvre ulterieure de cette fonction 
de traitement d'anomalie. 

En variante, plusieurs adresses de fonctions de traitement 
d'anomalie peuvent §tre utilisees, chacune d'entre elles etant une valeur 
pred6temiin§e associee a un ensemble d'instructions critiques. 

L'annexe D comports 32 lignes d'instructions numerot6es /*d1V d 
/*d32V d'un programme informatique dont I'execution est s6curis6e par un 
precede de securisation conforme a I'Invention dans un mode pr6f§r6 de 
realisation. 

Dans ce mode de realisation particulier. le programme comporte. 
a la ligne /*d4V. un appel ^ un sous-programme "fonction_critique". 

Get appel entraTne automatiquement I'empilement de I'adresse de 
retour de ce sous-programme, d savoir I'adresse de I'instruction de la ligne 
/*d5*/. 
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Au cours des instructions des lignes /*d20*/ S /*d23*/ du sous- 
programme "fonction_crjtlque", on memorise dans les registres R6 et R7 les 
premieres valeurs de la pile d'instructlons, d savoir I'adresse de retour, codee 
sur deux octets, de ce sous-programme. 

5 Puis, on emplle la valeur predetermin6e 05F1H aux lignes /*d24V 

et /*d25*/. 

On notera que dans ce mode de realisation, cette etape 
d'empilement est effectu§e pendant I'ex^cution du sous-programme 
"fonction_critique". 

""^ o" empile, au cours de rex6cutjon des instructions des 

lignes /*d27*/ et /*d29*/. le contenu des registres R6 et R7, ces registres 
contenant I'adresse de I'instruction de la ligne /*d6*/, comme expliqu6 supra. 

Le programme de I'annexe D se branche done d la ligne /*d5*/ a 
Tissue du sous-programme "fonction_critique". 

Avant l'ex6cution de I'instruction de la ligne /*d5*/, les deux 
premieres valeurs de la pile d'Instmctions sont normalement les valeurs 
pr6d§termin§es 05H et F1H empilees aux lignes /*d24*/ et 1*625*/. 

La ligne /*d5*/ similaire a la ligne /*a1*/ prec§demment decrite en 
reference ^ I'annexe A. represente un ensemble d'instructions sans rapport 
20 avec la pr^sente invention. On supposera que ces instructions laissent la pile 
d'instructions, dans I'etat oCi elle se trouvait avant la ligne /*d5*/. 

Les lignes /*d77 ^ /*d12*/ sont simllalres aux lignes /*c20*/ a 
/*c26*/ decrites prec6demment en reference d I'annexe C : 

- d6pilement dans le registre A aux lignes l*6TI et 1*6 1 07; 

- comparaison du registre A. avec les valeurs pr6d§tennin6es F1H 
et 05H aux lignes /*d87 et /*d1 1*/ ; 

- branchement d I'adresse "OS_killcard" au cours de I'instruction 
/*d9*/ (respectlvement /*d12*/) si le registre A ne contient pas la valeur F1H 
(respectivement 05H) au moment de l'ex6cution de rinstructlon de la ligne /*d97 

30 (respectivement /*d 12*/). 
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Le sous-programme OS_killcard de traitement d'anomalie est ainsi 
mis en ceuvre, si, par example, au cours de l'§tape de depilement /*d7V, on 
d6plle une valeur differente de la valeur pr6d§termin6e F1 H. 

On notera que dans ce mode de realisation, la suppression de la 
5 valeur predeterminee 05F1H de la pile d'ex6cution est effectu6e apres 
execution du sous-programme "fonction.critique" et non pas suite a une 
attaque ayant lieu lors de I'executlon d'un autre sous-programme, cette attaque 
ayant pour consequence I'execution des llgnes /*d6*/ a /*d137. 

Cette Implementation pennet done de s'assurer que I'execution 
10 des instructions des lignes /*d6V a /*d13V est effectu^e apres I'execution du 
sous-programme "fonction_critique". 

Las lignes /*d14V et /*d157 terminent le programme de I'annexe D. 
L'annexe E comporte 28 lignes d'instructions numerot^es /*e1 V ^ 
/*e28*/ d'un programme informatique dont l'ex6cutlon est securis6e par un 
procede de securisation confomie a Tinvention dans un mode pr§f6r6 de 
realisation. 

Les lignes /*e1V S /*e5*/ et /*e12V ^ /*e28*/ sent respectivement 
simllaires aux lignes /*dr/ a /*d5V et /*d16V a /*d32*/ decrites en reference a 
l'annexe D. a la difference pres que I'on empile dans la pile d'instruction 
I'adresse de la fonction de traitement d'anomalie OS_killcard (lignes /*e207 et 
/*e21*/) au lieu de la valeur predeterminee 05F1H. 

Cette etape d'empilement est la aussi effectuee pendant 
I'execution du sous-programme "fonction_critique". 

Le programme de l'annexe E se branche done ^ la ligne /*e5*/ a 
25 Tissue du sous-programme "fonction_critique". 

Avant I'execution de I'lnstruction de la ligne /*e67. les deux 
premieres valeurs de la pile d'instructions sent normalement les adresses de 
poids faible et de polds fort de la fonction OS_killcard. ces valeurs 
predeterminees ayant et6 empiiees aux lignes /*e217 et /*e207. 

Ces valeurs sont depiiees au cours de I'execution des instructions 
des lignes /*e77 et /*e87. 
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Ce mode de realisation particuller permet de s*assurer que la 
fonction "fonction^critique" est ex^cutee apres avoir ete effectivement appelee, 
et non ^ la suite d'une attaque par generation de faute. 

Dans le cas contraire en effet, le depHement de Tadresse de la 
fonction OS_kiHcard, au moment Inevitable du retour d'ex^cution d'un sous- 
programme, permettrait la detection d'une anomalie de d'execution, notamment 
par la mise en oeuvre de cette fonction. 

Les lignes /*e10*/ et /*e1 1*/ terminent le programme de Tannexe E. 
La figure 1 repr^sente une carte a microcircuit 100 conforme a 
I'invention dans un mode prefere de realisation. 

Pour simplifier, seul le contenu du microcircuit est represente. et 
ce de fapon schematlque. 

De faQon connue. la carte d microcircuit selon invention 100 
comporte en outre des elements materiels et loglciels classiques d'une carte S 
microcircuit a savoir notamment un support en matiere semi-riglde et des 
moyens d'alimentation. Ces elements ne seront pas decrits ici. 

La carte e microcircuit selon Tirivention 100 comporte des moyens 
de mise en oeuvre d'un precede de securisation tel que decrit precedemment en 
reference aux annexes A a E. 

Dans le mode de realisation prefere decrit ici, ces moyens sont 
constitues par un processeur 110, associe notamment a une memoire non- 
volatile de type EEPROM, a une memoire vive RAM comportant une pile 
d'instructions STACK, et a une m6moire morte ROM comportant un systeme 
d'exploitation OS. 

La memoire semi-volatile EEPROM comporte notamment les 
programmes des annexes A ^ E, ces programmes 6tant lus par le processeur 
1 00 pour leur execution. 

La memoire EEPROM comporte egalement les deux sous- 
programmes "anomalie" et "OS_killcard". 

Lors de rexecution des programmes des annexes A a E, les 
registres R6, R7 et test sont memorises dans la m6moire vIve RAM. 
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Dans le mode de realisation decrit ici, le registre A est 
raccumulateur du processeur 110. 
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ANNEXE A 



/*a1*/ 






/*a2*/ 


#pragma asm 


/*a3*/ 


push #00h 


/*a4*/ 


push #01 h 


/*a5*/ 


#pragma endasm 


/*a6*/ 


... 




/*a7*/ 






/*a8*/ 


if ^test 


= VRAO ( 


/*a9*/ 




#nrannna asm 


/*a10*/ 




DU«5h #00h 

lii#UOI 1 Trwvll 1 


/ CI 1 1 r 




niiQh #n2h 

I^UOI 1 Tr\JtL\ I 






#pragma endasm 


/*a13*/ 

/ CI I S/ / 






/*a14*/ 






/*a15*/ 




#pragma asm 


/ CI 1 V / 




pop A 


/*a17*/ 




XRL A,#02h 


/*a18*/ 




JNZ anomalie 


/ CI 1 C7 / 




pop A 






XRL A,#00h 


/*a21*/ 




JNZ anomalie 


/ Cl£.i^ / 




#pragma endasm 




} 




ra24*/ 






/*a25*/ 






/*a26*/ 


#pragma asm 


1*321*1 


pop A 




/*a28*/ 


XRL A.#01h 


/*a29*/ 


JNZ anomalie 


/*a30*/ 


pop A 




/*a31*/ 


XRL A,#00h 


/*a32*/ 


JNZ anomalie 


/*a33*/ 


#pragma endasm 
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ANNEXE B 



/*b 1 */ void function(void) 

/*b2V { 

/*b3*/ 

/*b47 #pragma asm 

/*b5*/ push #HIGH(OS_killcard) 

/*b6*/ push #LOW(OS_killcard) 

/*b7*/ #pragma endasm 

/*b8*/ 

/*b9*/ fonctlon_crltlque(); 

/*b10*/ 

/*b11*/ } 

/*b12*/ void fonction critique(void) 

/*b13*/ { 

/*b14*/ 

/*b15*/ #pragmaasm 

/*b16*/ pop A 

/*b177 mov R7,A 

/*b18*/ pop A 

/*b19*/ movR6,A 

/*b20*/ pop A 

/*b21*/ pop A 

/*b22*/ movA,R6 

/*b23*/ push A 

/*b24*/ movA.R? 

/*b25*/ push A 

/*b26*/ #pragma endasm 
/*b27*/ 

/*b28*/ } 
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ANNEXE C 



/*c1*/ void function 1 (void) 

/*c2*/ { 

/*c3*/ 

/*c4*/ #pragma asm 

/*c5V push #05h 

/*c6*/ push#F1h 

/*c7*/ #pragina endasm 
/*c8*/ 

/*c9*/ fonction_critique(); 
/*c10*/ 

/*c11*/ } 



/*c12*/ void fonction_critique(void) 

/*c13*/ { 

/*c14*/ 

/*c1 5*/ #pragma asm 

/*c16*/ pop A 

/*c17*/ movR7.A 

/*c18*/ pop A 

/*c19*/ movR6.A 

/*c20*/ pop A 

/*c21*/ XRLA. #F1li 

/*c22*/ JNZ OS_killcard 

/*c23*/ pop A 

/*c24*/ XRL A, #05h 

/*c25*/ JNZ OS_killcard 

/*c26*/ mov A.R6 

/*c27*/ push A 

/*c28*/ mov A,R7 

/*c29*/ push A 

/*c30*/ #pragma endasm 
rc3V/ 

l*cZ2*l } 
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ANNEXE D 

/*d1*/ void function(void) 

/*d2*/ { 

/*d3*/ 

/*d4V fonctlon_critique(); 
/*d5*/ 

/*d6*/ #pragma asm 

/*d7*/ pop A 

/*d8V XRLA, #F1h 

/*d9*/ JNZ OS_killcard 

/*d10*/ pop A 

/*dir/ XRLA, #05h 

/*d12*/ JNZ OS_killcard 

/*d 1 3*/ #pragma endasm 
/*d14*/ 

/*d16*/ } 



/*d16*/ void fonction_critique(void) 

/*d17*/ { 

/*d18*/ 

/*d19*/ #pragma asm 

/*d20*/ pop A 

/*d21*/ movR7,A 

M22*l pop A 

/*d23*/ mov R6.A 

/*d24*/ push #05h 

/*d25*/ push#F1h 

/*d26*/ mov A.R6 

/*d27*/ push A 

/*d287 mov A.R7 

/*d29*/ push A 

/*d30*/ #pragma endasm 
/*d31*/ 

/*d32*/ } 
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ANNEXE E 

/*e1*/ void function(void) 

/*e2*/ { 
/*e3*/ 

/*e4*/ fonctlon_critiqu6() 

/*e5*/ 

/*e6*/ #pragma asm 

/*e7*/ pop A 

/*e8*/ pop A 

/*e9*/ #pragma endasm 

/*e10*/ 

/*e11*/ } 



/*e12*/ void fonotion_critique(void) 

/*e13*/ { 

/*e14*/ 

/*e15*/ #pragma asm 

/*e16*/ pop A 

/*e17*/ mov R7,A 

/*e18*/ pop A 

/*e19*/ movR6,A 

/*e20*/ push #HIGH(OS_killcard) 

/*e21*/ push #LOW(OS_killoard) 

/*e22*/ movA,R6 

/*e23*/ push A 

/*e24*/ mov A,R7 

/*e25*/ push A 

/*e26*/ #pragma endasm 

/*e27V 

/*e28*/ } 
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REVENDICATION?^ 

1. Proc6d6 de s^curisation de rexecution d'un programme 
Informatique, le proc6de 6tant caracterise en ce qu'il comports : 
5 -une §tape d'empilement d'une valeur pr6determin§e dans una 

pile d'instructions du programme ; et 

- une etape de depilement de ladite pile, cette etape de d^pllement 
6tant adaptee. le cas echeant, ^ permettre la detection d'une anomalie de ladite 
execution. 

"•^ 2. Proc^de de securisation selon la revendication 1, caract6ris6 en 

ce que lesdites etapes d'empilement et de depilement sont respectivement 
associees a des Elements d'au moins un sous-ensemble d'instructions dudit 
programme. 

3. Procede de securisation selon la revendication 2. caracterise en 
15 ce que lesdits 6l§ments sont respectivement une parenthese ouvrante et une 

parenthese femiante dans un syst^me de parentheses. 

4. Proced6 de securisation selon la revendication 2, caracterise en 
ce que ladite etape de depilement est associee a une instruction de retour 
d'execution dudit programme ou d'un sous-programme dudit programme. 

2^ 5. Proc6d6 de securisation selon I'une quelconque des 

revendications 1 ^ 4, caracterise en ce que ledit programme est ecrit dans un 
langage de programmation, ce langage comportant une premiere instruction 
dont {'execution met en oeuvre ladite etape d'empilement et/ou une deuxieme 
Instruction dont I'execution met en oeuvre ladite etape de depilement. 

25 6. Procede de securisation selon la revendication 5, caracterise en 

ce que la deuxieme instruction termine ledit programme ou un sous-programme 
dudit programme. 
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7. Proc6d6 de s6curisatlon selon I'une quelconque des 
revendications 1 a 6. caracteris6 en ce que ladlte valeur pr6d6termin§e est 
representative d'un sous-ensemble d'instructlons critiques dudit programme. 

8. Proc6d6 de s^curisation selon I'une quelconque des 
revendications 1^7, caracterise en ce qu'il comporte une 6tape de traitement 
d'anomalie, mise en oeuvre, si, au cours de ladite 6tape de d§pHement, on 
depite une valeur dlff6rente de ladlte valeur pr6d6termin6e. 

9. Proc6d6 de s6curisatlon selon I'une quelconque des 
revendications 1 S 8, dans lequel ledit programme comporte au moins un appel 
d un sous-programme, caract6rise en ce que ladite 6tape d'empilement est 
effectuee avant ledit appel, et en ce qu'on supprime ladite valeur pred6terminee 
de ladite pile pendant I'ex^cution dudit sous-programme. 

10. Proc6d§ de s6curisation selon la revendication 9, caracterise 
en ce que ladite valeur pr6d§terminee est I'adresse d'une fonction de traitement 
d'une anomalie. 

11. Precede de securisation selon I'une quelconque des 
revendications 1 a 8, dans lequel ledit programme comporte au moins un appel 
d un sous-programme, caract6ris6 en ce que ladite 6tape d'empilement est 
effectu§e pendant l*ex6cution dudit sous-programme, et en ce qu'on supprime 
ladite valeur pr6d6termin6e de ladite pile apr§s I'execution dudit sous- 
programme. 

12. Proc6d6 de securisation selon la revendication 11, caract§ris6 
en ce que ladite valeur pr§d§termlnee est I'adresse d'une fonction de traitement 
d'une anomalie. 
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13. Support d'informations lisible par un systeme informatique, 
eventuellement totalement ou partlellement amovible, notamment CD-ROM ou 
support magn6tjque. tel un disque dur ou une disquette. ou support 
transmissible tel un signal electrlque ou optique. caracterise en ce qu'll 
comporte des instructions d'un programme informatique permettant la mise ne 
oeuvre d'un proc§d6 de s6ourisation selon Tune quelconque des revendications 
1 a 12, lorsque ce programme est charge et execute par un systeme 
informatique. 

14. Programme d'ordinateur stocks sur un support d'informations, 
ledit programme comportant des instructions permettant la mise en oeuvre d'un 
proc6de de securisafion selon I'une quelconque des revendications 1 a 12. 
lorsque ce programme est charge et execute par un systeme informatique. 

15. Entite 6lectronique securis6e caracterisee en ce qu'elle 
comporte des moyens de mise en oeuvre d'un precede de s6curisation selon 
I'une quelconque des revendications 1 d 12. 

16. Entity 6lectronique selon la revendication 15 caracterisee en 
ce qu'elle est une carte d microcircuit. 
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